— Об этом инструменте
bcrypt — это функция хеширования паролей, специально спроектированная медленной, что делает атаки полным перебором дорогостоящими. Она встраивает соль в хеш и предоставляет фактор стоимости (фактор работы), который можно повышать со временем по мере роста производительности оборудования. Этот инструмент как хеширует пароль, так и проверяет пароль в открытом виде по сохранённому bcrypt-хешу, чтобы вы могли протестировать логику аутентификации без написания скрипта.
Хеширование и проверка выполняются локально в вашем браузере с помощью bcryptjs, поэтому пароли никогда не передаются. Фактор стоимости 10–12 — разумное значение по умолчанию для большинства приложений; более высокие значения безопаснее, но медленнее. Учтите, что bcrypt усекает данные длиннее 72 байт — для более длинных секретов выполняйте предварительное хеширование.
Пароли хешируются и проверяются локально — ничего никуда не отправляется.
Часто задаваемые вопросы
Какой фактор стоимости использовать?
Значение от 10 до 12 обеспечивает баланс безопасности и скорости для типичных веб-входов. Каждый шаг удваивает объём работы; проведите замеры на вашем продакшен-оборудовании и выберите наибольшее значение, при котором хеширование укладывается примерно в 250 мс.
Почему один и тот же пароль каждый раз даёт другой хеш?
bcrypt генерирует случайную соль для каждого хеша и сохраняет её внутри результата, поэтому одинаковые пароли дают разные хеши. Проверка по-прежнему работает, потому что соль считывается из проверяемого хеша.
Можно ли восстановить исходный пароль из хеша?
Нет — bcrypt по своей природе является односторонней функцией. Можно лишь проверить, соответствует ли пароль-кандидат хешу, что и делает здесь режим «Проверка».